Hlavní navigace

Názor k článku Pro jiné povinnosti, pro sebe výjimku. Vnitro selhává jako hybatel pokroku eGovernmentu od LRA - > ale co druhá strana (jejich klienti)?...

  • Článek je starý, nové názory již nelze přidávat.
  • 25. 3. 2020 13:30

    LRA

    > ale co druhá strana (jejich klienti)? Mají také oni možnost zvážit všechna pro a proti toho, že vlastně podepisují bianco šek? Navíc takový, který je zneužitelný vícekrát (nikoli jen jednou), a nelze ho nijak revokovat? Mají možnost se vůbec dozvědět, jak přesně s jejich velmi citlivým a snadno zneužitelným vzorkem nakládá protistrana?

    Součástí vážení rizik u těch organizací, které to s tímto druhem podpisu myslí vážně, je i snaha o řešení tohoto problému. Chrání se tak před možným hromadným napadením důvěryhodnosti procesu podpisu.

    > Ale tady se s nesmírně citlivým osobním údajem (oním biometrickým podpisem, případně i dynamickým) nakládá zcela mimo rámec ochrany osobních údajů!

    Opět platí, že ti, kteří berou bezpečnost vážně, klasifikují tyto údaje jako speciální dle GDPR a vyžadují od klientů souhlas se zpracováním.

    > Stačilo by na úřadě vložit eOP do čtečky a zadat správný PIN (resp. QPIN)

    Ano, to je možné řešení, které minimálně díky vlastnostem QSCD zamezí možnému kopírování podpisů mezi dokumenty. Nicméně když půjdeme do důsledku, při téhle operaci vkládá držitel eOP svou důvěru v systém úřadu a v to, že skutečně podepíše, co podepsat má. Tento problém ma buď procesní řešení definované v zákoně o právu na digitální služby ve formě osvědčení o digitálním úkonu nebo technické řešení ve formě "Signature Creation Application" certifikované dle Common Criteria. Ale chybí metodika, jak na to.

    napadá mne jakýkoli kvalifikovaný prostředek (elektronické identifikace) s úrovní záruky "vysoká" (nebo možná i "značná", to je asi na zvážení).

    ... ano, ale .. opět k tomu chybí metodika např. v NSESSS, jednotný postup, jak by měly úřady postupovat.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).